Vorschläge für Accounts im inadyn-mt

[dfroe]

Nameserver aufsetzen ist keinen Kunst. Damit es etwas bringt, braucht man aber auch eine Domain und einen Server mit fester Anbindung.

Kunst vielleicht nicht unbedingt, aber man sollte wissen, was man tut. Öffentlich erreichbare Server-Dienste können manchmal etwas heikel sein.

Noch eleganter ist es übrigens, wenn gleich der Client über nsupdate den Eintrag aktualisiert.

Effizienter, ja. Aber auch zuverlässig genug? Ich kenne die Update-Prozedur nicht genau, aber wenn diese nur das Update in ein UDP Datagram packt, und "auf gut Glück" zum DNS-Server verschickt... Dann vielleicht doch lieber der "Overhead" einer TCP-Verbindung, bei der ich nicht nur eine Bestätigung bekomme, sondern auch auf evtl. Fehler reagieren könnte.

Nunja, man könnte wieder unendlich viele Pro's und Con's aufzählen.

Richtig fein wäre jetzt nur noch, wenn der benutzerdefinierte DynDNS-Client der FritzBox auch noch HTTPS beherrschen würde. Damit wäre ich dann wunschlos glücklich.

 

[hermann72pb]

Wenigstens theoretisch sollte es seitens AVM ohne viel Aufwand gehen, denn AVM hat alle https Mittel an Bord. Die tr069-Sachen laufen auf einer https-ähnlicher Basis. Ich würde raten AVM diesbezüglich zu kontaktieren. Manchmal gehen sie auf Wünsche der Kunden ein.
Ansonsten könnte man dafür selbst ein Freetz-Paket schreiben, oder eben inadyn, oder was da bereits existiert als Basis nutzen. Vermutlich braucht so ein Updater wget oder curl für seine Kommunikation. curl gibt es für FREETZ mit https-Unterstützung und auch als statisch, wenn man AVM-SSL-Geschichte nicht (zer)stören möchste. Auch wget gibt es mit ssl, ich persönlich würde aber curl nehmen.
Und darauf basierend lässt sich sowas bauen.

MfG

 

[dfroe]

AVM habe ich mal ein Support-Ticket wegen des SSL geschickt, vielleicht zeigen die ja tatsächlich Interesse daran.

Grundsätzlich gibt's wohl einfach zwei Möglichkeiten:

a) Ich verwende den integrierten DynDNS-Clienten der FritzBox.
+ Einfache Konfiguration auf der FritzBox, mit vanilla Firmware möglich
- Overhead auf dem Server notwendig, HTTP im Klartext

b) Ich stricke mir eine Eigenbaulösung.
Wenn ich in diesem Falle auf den AVM-Clienten verzichte, und gleich alles selber schreiben will, kann ich es natürlich gleich richtig machen. wget mit SSL-Unterstützung hätte ich sogar bereits in meinem Freetz mit an Board. Da könnte man sich dann sicherlich richtig schön verkünsteln und austoben. Vielleicht sogar mit Authentifizierung des HTTPS-Clienten mittels SSL-Zertifikat. Dann bräuchte man noch nicht einmal einen einzigen Parameter in der URL, und es wäre "bombensicher". Authentifizierung und Bestimmung des Hostnamen ginge über das SSL-Zertifikat, und IP-Adresse des HTTP-Clients kennt der Webserver ja beim Request ohnehin schon.

Aber das wäre dann wohl doch etwas zu viel des guten, wir wollen's ja nicht übertreiben.

Die AVM-Lösung über eigenen Mini-Webdienst, der dann über nsupdate die Änderungen weiter gibt, hört sich jedenfalls recht praktikabel an. Damit könnte man ja auch schon rudimentäre Sicherheitsvorkehrungen serverseitig treffen, so dass Requests nur von bestimmten Quell-IPs vorgenommen werden dürfen (z.B. aus dem 1&1 Telefonica-Backbone).

Ich bin mir nur noch nicht ganz sicher, ob das hier gepostete "Mini-PHP-Skript" vom Ansatz her funktionieren wird, oder ob dem Apache-User (bzw. dem PHP-Script) da nicht irgendwo die Rechte ausgehen könnten (z.B. beim diesem /dev/stdin Konstrukt). Hilft aber wohl nur eines: Ausprobieren und ggfs. optimieren.

 

[RalfFriedl]

Effizienter, ja. Aber auch zuverlässig genug? Ich kenne die Update-Prozedur nicht genau, aber wenn diese nur das Update in ein UDP Datagram packt, und "auf gut Glück" zum DNS-Server verschickt...

Es wird ein UDP Paket zum Server geschickt. Es gibt drei mögliche Ergebnisse:
- Positive Antwort
- Negative Antwort
- Timeout
Beim Timeout versucht man es noch einige Male und betrachtet es dann als erfolglos.

Manchmal gehen sie auf Wünsche der Kunden ein.

Soll schon mal vorgekommen sein. Ich habe aber auch schon vor Jahren Unterstützung von nsupdate vorgeschlagen, es kam nur die Standard-Antwort.

Vielleicht sogar mit Authentifizierung des HTTPS-Clienten mittels SSL-Zertifikat.

Das betrachte ich auch als Overkill. Benutzer und Paßwort über HTTPS ist auch sicher.

Ich bin mir nur noch nicht ganz sicher, ob das hier gepostete "Mini-PHP-Skript" vom Ansatz her funktionieren wird, oder ob dem Apache-User (bzw. dem PHP-Script) da nicht irgendwo die Rechte ausgehen könnten (z.B. beim diesem /dev/stdin Konstrukt). Hilft aber wohl nur eines: Ausprobieren und ggfs. optimieren.

Für das Update sind keine speziellen Rechte notwendig, außer natürlich das Starten von Programmen. /dev/stdin sollte für alle Prozesse die Standard-Eingabe sein. Wenn es doch nicht funktionieren würde, kann man den Namen auch weglassen, dann wird auch von Standard-Eingabe gelesen. Das einzig unschöne ist, daß dann ein Prompt für jede Zeile ausgegeben wird, was aber nicht weiter schlimm wäre.

Dieses Prinzip verwende ich schon seit Jahren, wenn ich die Adresse eines Linux-PCs an einer dynamischen Adresse aktualisieren will.

 

[olistudent]

Wir haben mehrere SSL-Tunnel im Programm. Die können so eine Verbindung aufbauen, auch für den AVM Client (denke ich).

MfG Oliver

 

[dfroe]

Hallo,
als kurzes Update: Ich habe von AVM eine "Antwort" zwecks SSL-Support im DynDNS-Clienten erhalten, allerdings ohne irgendwelche großen Überraschungen:

vielen Dank für Ihre Anfrage.
Die von Ihnen gewünschte Funktion wird derzeit leider nicht unterstützt.
Gerne habe ich Ihre Anfrage daher als Verbesserungsvorschlag an den
zuständigen Produktmanager in unserem Haus weitergeleitet.

Nunja, immerhin wissen die jetzt davon.

Das nsupdate funktioniert übrigens in der Tat relativ gut. Ich habe dazu einen Prototypen in Perl implementiert (cgi). In Perl lässt sich auch das Schreiben der Befehle an stdin des nsupdate sehr elegant lösen.

open(NSUPDATE, "|nsupdate -k ".$keyfile);
print NSUPDATE "server ".$nameserver."\n";
print NSUPDATE "zone ".$zone."\n";
print NSUPDATE "update delete ".$host.". A\n";
print NSUPDATE "update add ".$host.". 60 A ".$ip."\n";
print NSUPDATE "send\n";
close(NSUPDATE);

Dazu noch der übliche Code außen herum, Nameserver entsprechend konfiguriert, und schon läuft die Sache.

 

[doktorknow]

Also selbst wenn inadyn-mt mal nicht geht kann man mehrere dyndns-Einträge in der ar7.cfg machen, von Hand oder mit FB-Editor. Ich hab bei mir damit 5 Einträge gemacht, so spar ich mir ein Paket im Freetz und ändern tue ich da so gut wie nie etwas. Solange inadyn-mt mir nicht auch anzeigt ob die Accounts auch registriert sind (mit Ausnahme vom Log) bringt mir das package nicht viel.

Kannst Du das mal bitte etwas genauer erklären.

Ich würde die ar7.cfg jetzt so abändern (bei einem no-ip account):

accounts {
enabled = yes;
domain = "$$$$W4PN5DCZ2C25AEDFRTZ6MRPRKZMJUS1JXMJEE5LVPDVYPSR542NKKC1313F21SIP4H22QHST3AAA";
iface = 0;
username = "$$$$Z6ATJBY6CSJXR3L22WAOCMQMZPSVVCC3X3H5AKXORUPLDLLM4ABUMBMOPQAASSEZ151WKI2OAAA";
passwd = "$$$$SSOJKY14ZHVH2XL55XSWEDFRH6TTZSGXRFQEE6A2ORFBXO6GFU4C2KVEMZHZUZC2HLGNQ2Q2QAAA";
ddnsprovider = "dyndns.org";
enabled = yes;
domain = testaccount.no-ip.biz;
iface = 0;
username = [email protected];
passwd = 12345;
ddnsprovider = no-ip.org;
}

1. Sind die geschwungenen Klammern richtig, oder müssen die jedes Account umschließen? Müssen die Werte des zweiten Accounts auch in Anführungszeichen geetzt werden?

MfG
doktorknow

PS Bei no-ip logged man sich mit der E-Mail Adresse ein - nicht wie bei z.B. dyndns - also nicht über die E-Mail bei "username" wundern.

 

[hermann72pb]

Aber müssen dort die Werte eigentlich nicht gehasht werden? Es gibt sicherlich Möglichkeiten es per Commandozeile zu hashen. Am einfachsten für dich wäre es aber so zu machen:
1. Du rettest deine Werte für den ersten Account (in die Datei hast du ja reingeschaut).
2. Im AVM-WebIF gibst du die Werte für den zweiten Account und speicherst die ab. Du kannst auch checken, ob sich die Box auch richtig anmeldet.
3. Du editierst die ar7.cfg per Hand und ergänzst sie um die Hashwerte vom ersten Account.

Über die Richtigkeit der Schreibweise in ar7.cfg kann ich dir leider keine Auskunft geben. Ich vermisse da persönlich {} rumherum um jeden Account. Allerdings ich weiß, dass AVM da (leider) nicht so strukturiert und konsequent bei ar7.cfg vorgeht.

MfG

 

[doktorknow]

es aber so zu machen:
1. Du rettest deine Werte für den ersten Account (in die Datei hast du ja reingeschaut).
2. Im AVM-WebIF gibst du die Werte für den zweiten Account und speicherst die ab. Du kannst auch checken, ob sich die Box auch richtig anmeldet.
3. Du editierst die ar7.cfg per Hand und ergänzst sie um die Hashwerte vom ersten Account.

Danke, das hat geklappt!!
MfG
doktorknow

 

[doktorknow]

hm, schade zu früh gefreut. Irgendwie nimmt die Fritzbox immer nur das erste Account...
Muss man der Fritzbox noch mitgeben, dass es sich um zwei Accounts handelt??

Ich habe jetzt beide Accounts eingeklammert (immer nur das obere wird aktiviert - egal welches ich nach oben schiebe):

accounts {
enabled = yes;
domain = "$$$$W4PN5DCZ2C25AEDFRTZ6MRPRKZMJUS1JXMJEE5LVPDVYP SR542NKKC1313F21SIP4H22QHST3AAA";
iface = 0;
username = "$$$$Z6ATJBY6CSJXR3L22WAOCMQMZPSVVCC3X3H5AKXORUPLD LLM4ABUMBMOPQAASSEZ151WKI2OAAA";
passwd = "$$$$SSOJKY14ZHVH2XL55XSWEDFRH6TTZSGXRFQEE6A2ORFBX O6GFU4C2KVEMZHZUZC2HLGNQ2Q2QAAA";
ddnsprovider = "dyndns.org";
}
{
enabled = yes;
domain = "$$$$W4PN5DCZ2C25AEDFRTEEDRPRKZMJUS1JXMJEE5FDPDVYP SR542NKKC1313F21SIP4HS234HST3AAA";
iface = 0;
username = "$$$$Z6ATJBY6CSJDEEER2WAOCMQMZPSVVCC3X3H5AKXORUPLD LLM4ABUMBMOPQAASSEZ151WKI2ODFR";
passwd = "$$$$SSOJKY14ZDFZUXL55XSWEDFRH6TTZSGXRFQEE6A2ORFBX O6GFU4C2KVEMZHZUZDDEFRNQ2Q2QAAA";
ddnsprovider = no-ip.org;
}

Weiß jemand, wie ich die Anzahl der Accounts angeben muss?
MfG
doktorknow

 

[cuma]

Sonderbar - ich habe mir sogar testweise einen neuen Account angelegt - wildcard disabled :-(

Bei neuen Accounts kostet es was, meiner hat die Option aber noch freigeschaltet

 

[hermann72pb]

Weiß jemand, wie ich die Anzahl der Accounts angeben muss?

Mit den {} war nur meine Vermutung und freier Gedanke Richtung AVM. So wie du es jetzt stehen hast wird die zweite Sektion meiner Meinung nach komplett ignoriert. Lass die Passage

}
{

bitte weg. Denn es heißt immer noch "accounts" (also Plural), selbst wenn AVM nicht immer logisch und strukturiert vorgehen.
Ich hatte mich mal mit ar7.cfg etwas beschäftigt. Und wenn ich mich noch richtig erinnere, sollte jede Sektion einen Namen haben. Bei dir ist die zweite Sektion namenslos und wird daher anscheinend ignoriert.

MfG

 

[doktorknow]

Lass die Passage

}
{

bitte weg.

Schade, hat nicht funktioniert. Wahrscheinlich muss Nimrod hier noch mal reinschauen...

Aber danke für die Hilfe hermann!!
MfG
doktorknow

 

[olistudent]

Ich bin mir sicher, dass du die richtige Syntax hier im Forum findest! Hast du schonmal die Suchfunktion genutzt?

MfG Oliver

 

[doktorknow]

Hast du schonmal die Suchfunktion genutzt?

MfG Oliver

Habe das hier noch in der Suchmaschine gefunden:
[Edit frank_m24: Ein Link anstatt eines Vollzitates ist doch vollkommen ausreichend hier:]
http://www.ip-phone-forum.de/showthread.php?p=399929#post399929
Werde berichten, ob es damit geklappt hat...
MfG
doktorknow

PS Ich gebe auf. Auch im obigen Thread bekommen einige es hin - andere bei gleicher Vorgehensweise nicht. Ich gehöre zu scheinbar zu Letzteren...

 

[Nimrod]

Habe heute festgestellt dass meine Accounts nicht mehr funktioniert hatten, lag glaube ich daran dass ich mein Image aktualisiert hatte auf das .76er. Danach wollte das nicht so wie es erst ging. Hab nachdem ich die Einträge gemacht habe dyndns einmal deaktiviert und danach wieder aktiviert, dann gings. Ansonsten war auf der Startseite ein Fehler gewesen (unbekannt). Jetzt läufts.